50 millioner Facebook-kontoer ble hacket – slik klarte de det

Publisert 28. september 2018

Fredag kveld opplyste Facebook på sine nettsider at de har blitt rammet av et stort sikkerhetsbrudd.

Hele 50 millioner brukere ble direkte rammet av angrepet, og ytterligere 40 millioner kontoer kan ha blitt rammet.

«Vi tar dette veldig seriøst og vil at alle skal få vite hva som har skjedd og hvilke tiltak vi iverksetter umiddelbart for å sørge for folks sikkerhet,» skriver Facebook i en melding.

Fikk tilgang selv uten passord

Angriperne benyttet seg av tre separate svakheter i Facebooks systemer, som kombinert ga dem total tilgang til brukernes kontoer. Det finurlige var at de klarte å få tilgang til alle kontoene uten å trenge brukernes e-poster eller passord, bare deres såkalte «tilgangskoder», eller «access tokens» på engelsk.

Disse kodene er noe Facebook generer automatisk for alle brukere for å holde deg innlogget på tjenesten hvis du for eksempel åpner opp en lenke fra Facebook-appen, som åpner seg opp i nettleseren. Appen generer da en tilgangskode, som forteller nettleseren at du fortsatt er den samme brukeren, så du slipper å logge inn på nytt.

Det var disse tilgangskodene hackerne klarte å få tak i. Fram til Facebook tvang 90 millioner brukere til å logge av, hadde hackerne full tilgang til i hvert fall 50 millioner kontoer.

Med «Vis som»-funksjonen kan man se hvordan sin egen profil og innlegg ser ut for andre. — Facebook/skjermdump

Tre små svakheter ble til et kjempehull

For å klare å snappe opp disse tilgangskodene utnyttet hackerne tre svakheter. Alle tre svakhetene var en del av Facebooks «Vis som»-funksjonalitet. «Vis som» er en knapp du vanligvis kan trykke på for å se hvordan innleggene dine ser ut fra en annen brukers perspektiv, og har eksistert i årevis.

Den første feilen gjorde at en videoopplaster dukket opp på visse sider hvis man brukte «Vis som»-funksjonen. Dette i seg selv er en ganske ufarlig småfeil.

Den andre feilen i Facebooks system gjorde at videoopplasteren genererte en tilgangskode som ga tilgang til Facebooks mobilapp. Isolert sett er nok heller ikke dette en feil mange kan dra nytte av, men likevel en potensielt graverende feil.

- Dette er ikke slik denne tjenesten skal fungere, fortalte Facebooks produktsjef Guy Rosen til journalister etter at angrepet hadde skjedd .

Den tredje feilen var den som knyttet det hele sammen. Tilgangskoden som videoopplasteren genererte var nemlig ikke for deg, men for brukeren du simulerte i «vis som»-funksjonaliteten.

Se for deg at du for eksempel har blokkert sjefen din, la oss kalle ham Gard, fra å se alle dine personlige innlegg og bilder på Facebook. For å dobbeltsjekke at Gard ikke så dine siste utskeielser, kunne du bruke «Vis som»-knappen for å ta en titt på innlegget ditt fra sjefen din sitt perspektiv. Gard ville ikke sett noe som helst.

Men med de tre svakhetene i Facebooks system klarte angriperne ikke å få tjenesten til å generere en tilgangskode til din Facebook-konto, men til hvem enn du simulerte i «vis som»-funksjonen, i vårt eksempel Gard.

Dermed kunne hackerne få full tilgang til Gards konto, helt uten passord eller e-post-adresse.

Dette sikkerhetshullet skalerte angriperne opp, og snek seg inn i 50 millioner profiler.

2018 har vært et tungt år for Facebook-sjefen Mark Zuckerberg. Her under høringen i det amerikanske senatet etter Cambridge Analytica-skandalen. — Jim Watson

Usikkert hva de har stjålet

Facebooks produktsjef Guy Rosen sier de foreløpig vet veldig lite om angrepet og hvem som sto bak — Facebook

– Vi oppdaget at det foregikk et relativt stort angrep, og da vi begynte å etterforske saken forsto vi hvor angrepet kom fra. Vi vet fortsatt ikke hvordan kontoene har blitt misbrukt ennå, fortalte Rosen.

Etter at angrepet ble oppdaget ble de 50 millionene rammede kontoene tvunget til å logge av. Dermed mistet også hackerne tilgang til kontoene, ettersom de bare hadde midlertidig tilgang via tilgangskodene.

Facebook logget også av ytterligere 40 millioner kontoer som de tror kanskje ble rammet av samme angrep, for å være på den sikre siden.

«Vis som»-funksjonen er også deaktivert inntil de fikser svakhetene angriperne utnyttet.

Nøyaktig hva angriperne fikk ut av kontoene er ikke sikkert. Det eneste Facebook har sagt er at de vet at angriperne samlet inn informasjon om navn, kjønn og hjemby, men siden de hadde full tilgang til kontoene kan det tenkes at også bilder, meldinger og innlegg kan være lekket. Dette jobber Facebook nå med å etterforske.

Angriperne fikk tilgang til 50 millioner kontoer, uten å kjenne til en eneste e-post-adresse eller passord.

Mye penger å tjene på angrepet

– Det høres ut som litt av et funn! «Vis som»-koden har eksistert i lang tid, så jeg er ikke overrasket over at den hadde noen feil ved seg. fortalte Zac Morris til nettstedet Motherboard. Morris skal ha jobbet i Facebooks sikkerhetsavdelig mellom 2012 og 2016.

Han påpeker at hackerne trolig har mye penger å tjene på angrepet, ettersom Facebook vanligvis betaler ut store summer for å bli varslet som graverende sikkerhetsfeil som dette.

– Dette er en en type feil som Facebook hadde betalt 30 000 dollar for å bli varslet om (ca 250 000 kr), så de må ha en annen måte å tjene mer penger enn det på. Det er litt skummelt, fortalte Morris til Motherboard.

Slik vet du om du er rammet

Alle som ble rammet av feilen ble logget av automatisk fra Facebook. Du skal også se en beskjed i toppen av nyhetsstrømmen din som beskriver hva som har skjedd.

E24 skriver at flere nordmenn skal ha blitt rammet av angripet. Det skal ikke være nødvendig å bytte passord på tjenesten, ettersom angriperne bare hadde midlertidig tilgang via de såkalte tilgangskodene, og ikke via e-post- og passord-innlogging.

Facebook vet fortsatt ikke hvem som står bak angrepet, eller om det er politisk motivert.

– Vi er fortsatt tidlig i etterforskningen vår, og det er vanskelig å vite nøyaktig hvem som står bak dette. Det kan hende vi aldri får vite det, skriver Rosen i et innlegg på Facebook.